Contrôle interne

Le contrôle interne est un dispositif mis en œuvre par la direction d'une administration (privée comme les
entreprises ou publique comme les ministères) pour lui permettre de maîtriser les opérations à risques qui
doivent être faites par elle.

Ses ressources sont pour cela mesurées, dirigées et supervisées de façon à permettre au management de
réaliser ses objectifs.

C'est une notion fondamentale du management des entreprises et des administrations qui va amener dans les
années à venir leur restructuration en profondeur.

Sommaire
Les dimensions du Contrôle Interne
Les définitions du contrôle interne
Le besoin de contrôle interne
Les interlocuteurs concernés par le contrôle interne
Le rôle et les responsabilités du contrôle interne
La description des dispositifs de contrôle interne
Les règles de contrôle interne
Le rôle de l'audit
La gouvernance de l'entreprise
L'importance des systèmes d'information
L'importance du reporting du contrôle interne
Le contrôle interne dans la banque
Les limites du contrôle interne
Notes et références
Voir aussi
Articles connexes
Liens externes
Bibliographie

Les dimensions du Contrôle Interne

La notion de contrôle interne a plusieurs dimensions :

La lutte contre la fraude. Cela a été un des moteurs du développement de la notion de

contrôle interne. À l'origine, il y a la publication, en 1977 aux États-Unis, du Foreign
Corrupt Practices Act (FCPA). Cette loi exige des entreprises qu'elles mettent en place
des programmes de contrôle interne. L'objectif était de détecter les fraudes et de protéger
 les ressources de l'entreprise. Cela concerne d'abord les biens matériels comme les

stocks, les comptes clients, ... mais aussi les biens incorporels comme les brevets, la
propriété intellectuelle, les savoir-faire, les marques, ...
La sincérité des comptes des entreprises. Ce souhait a été le deuxième moteur du
développement du contrôle interne. En 1985 la commission Treadway est née de la prise
de conscience des erreurs répétitives constatées dans les comptes d'un certain nombre
d'entreprises. Elle s'est fixé comme objectif d'arriver à lutter contre les fraudes constatées
dans les Bilans et les Comptes de Résultat de certaines entreprises. En 1992 les travaux
du COSO, Committee Of Sponsoring Organisations of the Treadway Commission se sont
traduits par un premier rapport : Internal Control - Integration Framework qui s'appelle en
français : La pratique du contrôle interne. Il donne une définition communément acceptée
de la notion de contrôle interne et détaille un cadre général de mise en place d'un système
de contrôle interne et la manière dont il peut être renforcé et amélioré. Puis en 2002 une
loi américaine rigoureuse, la Loi Sarbanes-Oxley, permet de renforcer le contrôle des
comptabilités concernant les sociétés cotées aux États-Unis. C'est une loi de protection
des investisseurs imposant de nouvelles règles concernant la comptabilité et la
transparence financière. Plus récemment, en France l'Autorité des marchés financiers,
l'AMF, a publié un document de référence définissant la démarche de contrôle interne.
La mise en place d'une organisation plus efficace et plus performante. L'objectif du
contrôle interne évolue. L'objectif de la démarche consiste à disposer des bonnes
informations au bon moment afin de prendre les bonnes décisions. De manière plus
générale il s'agit de déterminer les objectifs stratégiques, de mettre en place des
dispositifs opérationnels et de respecter les lois et les règlements. Le contrôle interne
nécessite de mettre en place des procédures qui respectent l'ensemble de ces objectifs
tout en améliorant l'efficacité de l'entreprise.

Le développement des méthodes de contrôle interne a une influence importante sur le développement des
systèmes d'information, car leur fonctionnement a un impact sur l'efficacité des processus de l'entreprise. Il
est pour cela nécessaire de mettre en place des dispositifs de gestion de contrôle adaptés. Ceux-ci reposent à
leur tour sur des systèmes d'information permettant d'alimenter des tableaux de bord de suivi des processus.

Les définitions du contrôle interne

Il existe de multiples définitions du contrôle interne : voir Système de contrôle interne et Audit comptable et
financier. Une des plus anciennes est celle de B. Fain et V. Faure  : "Le contrôle interne consiste en une
organisation rationnelle de la comptabilité et du service comptable visant à prévenir, tout au moins à
découvrir sans retard, les erreurs et les fraudes". Elle date de 1948. Celle qui aujourd'hui fait référence est
celle du COSO : « Le contrôle interne est un processus mis en œuvre par l'organe de direction (c'est-à-dire
le Conseil d'Administration), les dirigeants et le personnel d'une organisation, destiné à fournir une
assurance raisonnable quant à la réalisation des objectifs suivants :

réalisation et optimisation des opérations,

fiabilité des informations financières,
respect des lois et réglementations en vigueur. »

Cette définition n'est pas parfaite, mais a le mérite de définir le contrôle interne comme un processus et elle
précise qu'elle a pour but de mettre la notion d'assurance raisonnable concernant les opérations. Par contre,
elle ne prend pas en compte la notion de gestion des risques qui a été prise en compte dans COSO 2. Mais
surtout elle ne fait pas référence à l'état des pratiques ni aux processus de l'entreprise.

Cette définition a été largement reprise comme dans le cadre de référence de l'AMF : « Le contrôle interne
est un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il comprend un ensemble de
 p , p p
moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque

société qui :

contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation

efficiente de ses ressources, et
doit lui permettre de prendre en compte de manière appropriée les risques significatifs,
qu’ils soient opérationnels, financiers ou de conformité ».

La multiplicité des définitions de la notion de contrôle interne est due à la variété des préoccupations des
différents intervenants : cela dépend du métier, du secteur d'activité, des crises rencontrées, ... Il est certain
que la vision du commissaire aux comptes est assez différente de celle de l'auditeur interne, du dirigeant ou
du consultant en stratégie.

Il est important de voir qu'on est progressivement passé de la lutte contre la fraude à une démarche plus
large très proche de la gouvernance. Mais ces définitions ne sont pas complètes, car elles précisent le
« comment » mais ne disent pas le « pourquoi ».

On peut raisonnablement considérer que le contrôle interne est un processus permettant de s'assurer que les
opérations de l'entreprise se déroulent en appliquant des bonnes pratiques notamment celles concernant le
management et le fonctionnement de ses principaux processus. La notion de bonne pratique est
fondamentale. Elle est au cœur de toutes ces démarches. C'est ce que tout professionnel expérimenté sait
qu'il devrait mettre en œuvre, mais qu'il ne s'applique pas toujours.

Le besoin de contrôle interne

Le développement du contrôle interne correspond à trois besoins différents :

la dérive des pratiques des entreprises. Elles sont de différentes natures comme le
laxisme de l'application des règles de gestion, l'oubli des règles de contrôle ou de
sécurité, les fraudes internes, ... Elle est due à la perte de certains repères et à
l'effacement progressif de la frontière entre ce qui est permis et ce qui ne l'est pas ;
la montée des risques liée à la globalisation, à la dématérialisation des opérations, la
financiarisation, ... Ce sont des tendances profondes. On n'y peut rien et cela se traduit par
une multiplication des situations délicates. Il est pour cette raison nécessaire de mettre en
place des mesures appropriées de façon à limiter le niveau des risques ;
le développement des systèmes d'information. En soit, c'est une bonne nouvelle, mais
l'expérience montre que des applications mal conçues ou insuffisamment protégées
peuvent se traduire par des fragilités importantes.

Le contrôle interne a pour objectif de renforcer et de systématiser les dispositifs de contrôle permettant de
s'assurer que les opérations courantes de l'entreprise se déroulent normalement. C'est une évolution
importante de la démarche de contrôle. Traditionnellement les contrôles se faisaient de manières ponctuelles
comme des audits. Dans une démarche de contrôle interne, on cherche à mettre en place des contrôles
permanents. Parallèlement on assiste à l'apparition dans les entreprises de Directions du Contrôle Interne et
de Directions des Risques chargées de prendre en compte l'ensemble de ces opérations

Les interlocuteurs concernés par le contrôle interne

Le contrôle interne concerne l'ensemble des organes de direction d'une entreprise et notamment :

le Conseil d'Administration. Il représente les actionnaires et il est à ce titre directement

 intéressé par le niveau de contrôle interne de l'entreprise. Il doit notamment s'assurer que
les procédures internes garantissent la significativité et l'honnêteté des comptes sociaux.
De plus en plus souvent les constatations faites sont reportées à l'Assemblée Générale
des actionnaires.
le Comité d'audit est composé d'administrateurs indépendants chargés d'initier et de
suivre les missions d'audit. À ce titre, il a pour mission de demander le renforcement des
procédures de contrôle interne.
le Commissaire aux comptes doit, dans le cadre de sa mission légale, s'assurer de
l'existence et de l'efficacité des procédures de contrôle interne. Dans les grandes
entreprises, il doit évaluer le rapport de la direction générale sur l'ensemble des
procédures de l'entreprise.
la direction générale a la responsabilité de mettre en place des procédures de contrôle
interne et, si c'est nécessaire, de les renforcer. Très souvent l'équipe d'audit interne lui est
rattachée.
le comité de direction est souvent amené à s'intéresser aux pratiques de contrôle interne
mis en œuvre par les principaux décideurs de l'entreprise qui en font partie. Ils ont la
responsabilité de s'assurer qu'on applique effectivement les bonnes pratiques.
la direction de l'audit doit veiller à la mise en place des règles de contrôle interne. Il a la
responsabilité de s'assurer qu'elles sont effectivement appliquées et donnent les résultats
attendus.
la direction des risques a la mission de les évaluer. Ils peuvent être liés à l'activité
principale de l'entreprise (risques métiers) mais aussi aux activités accessoires dont
l'informatique (risques opérationnels).
la direction financière est particulièrement intéressée par la mise en œuvre des règles de
contrôle interne. La sincérité des comptes est directement liée à leur application.
la direction juridique doit s'assurer que tous les contrats signés avec les clients, les
fournisseurs et les salariés sont conformes aux règles contractuelles se trouvant dans la
charte juridique de l'entreprise.
la direction des systèmes d'information est au cœur de l'application des règles de contrôle
interne. Les programmes les exécutent. Il faut s'assurer qu'ils fonctionnent correctement et
donnent les résultats attendus.

Comme on le voit toutes les unités de l'entreprise sont concernées par le contrôle interne. Il s'agit de l'affaire
de tous.

Le rôle et les responsabilités du contrôle interne

Il existe dans un nombre croissant d'entreprises une direction de l'audit interne ou une direction du contrôle
interne. On peut s'interroger sur son rôle et ses responsabilités. Est-ce que les auditeurs internes sont
responsables du contrôle interne de l'entreprise ? Très souvent les responsables de ces équipes le pensent.
Mais, il faut être clair, la responsabilité du contrôle interne relève de la direction générale. Dans ce contexte
les équipes d'audit interne doivent s'assurer que les procédures de contrôle interne sont en place,
fonctionnent et donnent les résultats attendus.

En fait, tous les salariés de l'entreprise sont responsables du contrôle interne. Quels que soient leur métier et
les tâches qui leur sont confiés, ils doivent veiller à ce que les instructions qui leur sont données soient
effectivement appliquées. Dans ce contexte, le management de l'entreprise a la responsabilité de mettre en
place des dispositifs de contrôle suffisants dans le cadre des instructions qu'il donne aux personnes placées
sous ses ordres.

La description des dispositifs de contrôle interne

La qualité et l'efficacité du contrôle interne dépend de la mise en place d'un certain nombre de dispositifs tel
que :

les règles de contrôle interne,

le rôle de l'audit,
la gouvernance de l'entreprise,
l'importance des systèmes d'information,
le rôle du reporting du contrôle interne.

Les règles de contrôle interne

Il existe de nombreuses règles de contrôle interne et parmi celles-ci on peut distinguer des règles générales
et des règles particulières.

Les règles générales s'appliquent à toutes les fonctions et à tous les processus de
l'entreprise :
la séparation des fonctions. Des règles strictes doivent être appliquées pour qu'une
même personne ne soit pas à la fois chargée d'une action et en même temps d'en
contrôler l'exécution,
tracer les transactions. Il est nécessaire d'enregistrer toutes les opérations effectuées
permettant ensuite de reconstituer les opérations,
la conservation des documents. Il faut pouvoir retrouver les pièces justificatives des
opérations.
la surveillance des opérations permet de s'assurer que les opérations se déroulent
normalement sans incident,
la sécurité des opérations. Il faut pouvoir assurer un bon niveau de sécurité de façon
à pouvoir redémarrer rapidement après un incident sans perdre d'information
significative.

Il existe aussi des règles particulières propre à une activité spécifique :

la gestion d'un projet. Il existe un certain nombre de règles permettant de réduire les
risques de dérives.
la prise d'une commande et la facturation doivent appliquer des règles spécifiques
liées à la nature de l'activité.
l'établissement de la paie doit aussi appliquer des règles très strictes.

Ces règles sont les bonnes pratiques que tout professionnel connaît et doit appliquer. La réalité est souvent
plus délicate, car ces règles sont parfois imparfaitement appliquées, et même dans certains cas elles sont
totalement ignorées.

Face aux situations scabreuses rencontrées aux États-Unis, la loi Sarbanes-Oxley a fait obligation aux
entreprises de renforcer les dispositifs de contrôle interne. La section 404 fait obligation à toutes les
entreprises cotées à une bourse située aux États-Unis d'évaluer les dispositifs de contrôle interne et d'établir
un rapport annuel de contrôle interne. Un organisme de contrôle le PCOAB, Public Company Accounting
Oversight Board, est chargé de fixer des normes précisant les contrôles qui doivent être effectués.

Le rôle de l'audit
Les techniques de contrôle interne sont fortement influencées par la pratique de l'audit. En effet l'auditeur
interne ou externe est amené à constater des situations à risques et à proposer des recommandations
permettant de les diminuer. Le but de l'audit est donc de réduire le niveau de risque de façon à obtenir une
assurance raisonnable du bon fonctionnement de la fonction ou du processus audité.

Pour effectuer ce travail, l'auditeur va baser sa démarche sur sa connaissance des objectifs de contrôle du
domaine audité. Or ces derniers reposent sur la connaissance qu'il a des bonnes pratiques. Elles sont la base
des règles de contrôle interne qu'il faut vérifier. L'audit est donc à la base de toute démarche de contrôle
interne. L'auditeur, qu'il soit interne ou externe, va donc s'assurer que les règles de contrôle interne sont
effectivement appliquées et donnent les résultats attendus.

La gouvernance de l'entreprise

Derrière la notion de contrôle interne il y a celle de gouvernance de l'entreprise. C'est une préoccupation
apparue dans les années 1990 face à la multiplication des situations curieuses, voire scabreuses, rencontrées
dans un certain nombre d'entreprises. C'est un mouvement international apparu aux États-Unis et qui a été
repris dans tous les pays développés dont la France (Rapports Viénot I, Mariani, Viénot II, Bouton,
Clément, …). Il a pour but d'améliorer la manière dont les entreprises sont dirigées. Cela s'est traduit aux
États-Unis par la loi Sarbanes-Oxley et en France par la loi de sécurité financière.

La gouvernance d'entreprise repose sur un ensemble de règles simples qui permettent d'assurer un meilleur
fonctionnement de l'entreprise. Elle repose sur une clarification des rôles de la direction générale et du
conseil d'administration. C'est une nouvelle répartition des rôles entre les différents organes de gestion de
l'entreprise. Par exemple les grandes entreprises doivent mettre en place un comité d'audit dont les membres
doivent de préférence être des administrateurs indépendants. La loi de Sécurité Financière fait de plus
obligation aux plus grandes entreprises d'analyser leurs processus et d'établir un rapport les décrivant. Les
Commissaires aux Comptes de l'entreprise doivent valider ce document et en informer l'Assemblée
Générale des actionnaires.

Pour améliorer la gouvernance des entreprises il est nécessaire de mettre en place des processus adaptés
prenant en charge les principales opérations de l'entreprise comme les achats, les ventes, la production, la
logistique, ... Si on veut améliorer l'efficacité de l'entreprise il est nécessaire de les rendre plus efficaces. On
va pour cela les rationaliser, les simplifier et les informatiser. Ceci se traduit par la rédaction de procédures
décrivant les processus. C'est une pièce fondamentale du contrôle interne.

L'importance des systèmes d'information

Les progrès réalisés ces dernières années en matière informatique ont permis un développement important
des systèmes d'information des entreprises. Ils constituent aujourd'hui leur cœur. Il est pour cela nécessaire
de les mettre en œuvre en respectant les principes de la gouvernance des systèmes d'information. Ils
permettent de faire fonctionner efficacement les règles de contrôle interne.

Aujourd'hui la plupart des règles de contrôle interne sont mises en œuvre à l'aide des systèmes
d'information des entreprises. Ils comportent d'abord les contrôles informatiques traditionnels tels que la
validation des données saisies, mais aussi le contrôle des bases de données existantes, le contrôle des
traitements, le contrôle des éditions ou des consultations. Les actions de contrôle interne portent aussi sur
l'amélioration de l'efficacité des opérations, le pilotage des processus et la mise en place des tableaux de
bord décrivant les activités.
Pour améliorer le niveau du contrôle interne des entreprises on va s'attacher à perfectionner le
fonctionnement des systèmes d'information. Pour cela on va veiller à mieux maîtriser le management des
systèmes d'information.

L'importance du reporting du contrôle interne

Les opérations de contrôle interne sont nombreuses et variées. Elles se traduisent par de nombreux
signalements qui indiquent que tout se passe bien ou bien que quelque chose d'anormal est survenu. Ce
sont souvent des dysfonctionnements ou des incidents. Ces événements doivent rapidement remonter vers
les décideurs pour que des mesures soient prises. C'est la base du contrôle interne.

Ainsi une base de données des contrôles effectués, des anomalies constatées, des suites données aux
incidents, ... est constituée. Elle permet de suivre les incidents et ainsi apprécier le degré de maîtrise des
processus de l'entreprise.

Il est pour cela nécessaire d'établir périodiquement une synthèse des incidents constatés, des corrections
effectuées, mais aussi rendre compte des contrôles positifs effectués. Pour cela, à partir de la base de
données du contrôle interne on va établir un tableau de bord du contrôle interne de l'entreprise, du
processus ou de la fonction concernée.

Le contrôle interne dans la banque

Parmi toutes les entreprises existantes les banques sont celles connaissant des niveaux de risques les plus
élevés. Pour cette raison, il est nécessaire de mettre en place un dispositif de contrôle interne permettant
d'identifier ces risques et de prendre des mesures permettant de réduire leur impact.

La réglementation internationale des banques est fixée par le Comité de Bâle. La réglementation dite Bâle
II, publiée en 2004, fixe le minimum de fonds propres (8  %) que doit couvrir la banque dans les crédits
qu'elle octroie. Elle leur impose aussi d'évaluer les risques opérationnels. Pour cela les banques doivent
renforcer leurs dispositifs de contrôle interne. Ce sont un certain nombre de procédures dont le but est
d'atténuer les risques. Les banques européennes ont eu l'obligation de mettre en œuvre ces règles à partir de
2008.

Sans attendre le Comité de la réglementation bancaire et financière a mis en place en 1997 un règlement le
CRBF 97.02 sur les « Conditions d'exercice du contrôle interne des établissements bancaire » qui impose
aux banques d'établir un système de contrôle interne. Il précise dans son article 1 le contenu :

a) un système de contrôle des opérations et des procédures internes ;

b) une organisation comptable et du traitement de l’information ;

c) des systèmes de mesure des risques et des résultats ;

d) des systèmes de surveillance et de maîtrise des risques ;

e) un système de documentation et d’information ;

f) un dispositif de surveillance des flux d’espèces et de titres.

« Les entreprises assujetties veillent à mettre en place un contrôle interne adéquat en adaptant l’ensemble
des dispositifs prévus par le présent règlement à la nature et au volume de leurs activités à leur taille à leurs
des dispositifs prévus par le présent règlement à la nature et au volume de leurs activités, à leur taille, à leurs
implantations et aux risques de différentes natures auxquels elles sont exposées.»

Les limites du contrôle interne

L'objectif du contrôle interne est d'arriver à une assurance raisonnable du bon fonctionnement de
l'entreprise. Mais ce n'est pas une garantie absolue. Il est toujours possible qu'un fraudeur particulièrement
astucieux profite des failles des procédures internes pour commettre un vol au détriment de l'entreprise.

Il est probable que le renforcement des dispositifs de contrôle interne doit permettre d'éviter cela. Souvent
cela s'accompagne d'un alourdissement des procédures. Au lieu d'améliorer l'efficacité de l'entreprise on ne
réussit qu'à augmenter la lourdeur de sa bureaucratie.

De manière plus générale on constate que l'atteinte des objectifs de l'entreprise ne dépend pas uniquement
des facteurs internes. Si le marché s'effondre ou si un concurrent bénéficie d'une innovation majeure,
l'entreprise peut avoir des processus efficaces et performants, mais elle sera en situation de risque vital.

Notes et références

Voir aussi

Articles connexes
Système de contrôle interne
Audit
COSO
Loi Sarbanes-Oxley
Loi de sécurité financière
Autorité des marchés financiers (AMF)
Institute of Internal Auditors (IIA)
Institut français des auditeurs et contrôleurs internes (IFACI)
Bâle II
Audit comptable et financier
Management du système d'information

Liens externes
L'Autorité des marchés financiers, AMF (http://www.amf-france.org)
Le Committee Of Sponsoring Organisations of the Treadway Commission, le COSO (http://
www.coso.org)
Le Public Company Accounting Oversight Board : PCAOB (http://www.pcaobus.org)

Bibliographie
COSO 1 : Internal Control - Integration Framework, traduction française : La pratique du
contrôle interne, 2002, Éditions d'Organisation, (ISBN 2708127136)
COSO 2 : Entreprise Risk Management Framework, traduction française : Le management
des risques de l'entreprise : cadre de référence techniques d'application 2005 Éditions
 des risques de l entreprise : cadre de référence, techniques d application, 2005, Éditions
d'Organisation, (ISBN 2708134329)
AMF : Le dispositif de contrôle interne : Cadre de référence, 2007
AFAI : Contrôle Interne et Système d'information 2e édition

Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Contrôle_interne&oldid=181353245 ».

La dernière modification de cette page a été faite le 29 mars 2021 à 08:20.

Droit d'auteur : les textes sont disponibles sous licence Creative Commons attribution, partage dans les mêmes
conditions ; d’autres conditions peuvent s’appliquer. Voyez les conditions d’utilisation pour plus de détails, ainsi que
les crédits graphiques. En cas de réutilisation des textes de cette page, voyez comment citer les auteurs et
mentionner la licence.
Wikipedia® est une marque déposée de la Wikimedia Foundation, Inc., organisation de bienfaisance régie par le
paragraphe 501(c)(3) du code fiscal des États-Unis.

Politique de confidentialité
À propos de Wikipédia
Avertissements
Contact
Développeurs
Statistiques
Déclaration sur les témoins (cookies)